Malware | Ransomware | Viry

Nová taktika zákeřného ransomwaru Cyborg: vydává se za aktualizaci Windows

Jednou z nejčastějších cest, jak se do počítačů dostává malware, jsou falešné e-mailové zprávy. Zatímco zkušenější uživatelé obvykle rozpoznají podvržený e-mail, ti méně zdatní mohou podlehnout a nainstalovat si do systému škodlivou aplikaci.

Svým způsobem jde vlastně o sociální inženýrství, kdy je úkolem útočníka přesvědčit uživatele, aby klepl na odkaz, stáhl a nainstaloval si nějaké soubory. Tvůrci ransomwaru Cyborg nyní využili zákeřnou taktiku: rozesílají e-maily pod hlavičkou Microsoftu a radí příjemcům, aby si nainstalovali nezbytnou aktualizaci.

Ransomware místo aktualizace

Pravidelným čtenářům Živě jistě hned po přečtení předchozího odstavce vytane na mysli, že Microsoft rozhodně nerozesílá výzvy k aktualizacím elektronickou poštou. Nesmíme ale zapomínat na to, že řada méně zkušených uživatelů takovou informaci nemá – ti mohou snadno uvěřit uvedeným tvrzením a doporučením.

Na aktuální hrozbu upozornili na blogu bezpečnostní experti z firmy Trustwave. Škodlivé e-maily mají předmět „Install Latest Microsoft Windows Update now!“ nebo „Critical Microsoft Windows Update!“, který má přesvědčit neznalé uživatele k otevření zprávy.

E-mail obsahuje jedinou větu, vyzývající k instalaci systémových aktualizací, jež mají být součástí e-mailu. Přiložený soubor o velikosti kolem 28 kB má sice příponu .jpg, podle které se na první pohled jedná o obrázek, avšak ve skutečnosti jde o spustitelnou .NET aplikaci, která do systému stáhne malware.

Stačí jedno neuvážené klepnutí

Po spuštění přiloženého souboru dojde ke stažení další aplikace bitcoingenerator.exe – ten již obsahuje ransomware Cyborg. Jak už to u tohoto typu havěti bývá, aplikace začne šifrovat soubory uživatele a měnit jejich příponu na .777. Kromě toho uloží do kořenové složky souborového systému svou kopii jako soubor bot.exe.

Hlavním cílem ransomwaru bývá požadování výkupného za dešifrování souborů. To je v tomto případě realizováno formou textového souboru Cyborg_DECRYPT.txt, umístěného na ploše. V něm je vznesen požadavek na zaplacení 500 amerických dolarů, tedy v přepočtu asi 11 500 Kč. V tomto směru patří Cyborg k těm levnějším....

Obecně existuje několik typů ransomwaru Cyborg, které se od sebe liší například používanými příponami zašifrovaných souborů. V šedé zóně internetu lze dokonce získat takzvaný „builder“, s jehož pomocí je možné sestavit si vlastní variantu této škodlivé aplikace.

Diskuze (15) Další článek: NASA otestuje nákladový modul úchvatné kosmické lodi, která vypadá jako raketoplán

Témata článku: , , , , , , , , , , , , , , , , , , ,